信息安全
文章平均质量分 69
运维个西瓜
这个作者很懒,什么都没留下…
展开
-
学习国家颁布的三部信息安全领域法律,理解当前工作中的信息安全合规要求
近年来,国家层面通过先后颁布的三部法律搭建起了一套完整的信息安全治理框架。作为ICT行业的从业者,掌握信息安全知识与技能,做到归避风险、业务合规越发得重要。本文通过深入学习国家网络安全法、数据安全法和个人信息保护法,帮助理解当前工作中的信息安全合规要求。原创 2023-02-22 18:56:49 · 2325 阅读 · 0 评论 -
Wazuh agent的安装、注册与配置管理
Wazuh agent安全监控客户端的安装与管理原创 2022-08-10 18:29:11 · 3324 阅读 · 0 评论 -
制作与部署Wazuh数字证书
使用官方提供的证书管理工具wazuh-certs-tool.sh,来制作部署Wazuh服务使用的各种证书。原创 2022-08-10 18:17:38 · 574 阅读 · 0 评论 -
Wazuh server 服务的配置管理
/Wazuh可以按需和外部的其他事件管理、监控报警管理平台进行集成,自动地将将定级别或类别的报警消息发送到第三方的平台上去,以实现统一的事件管理。编辑/var/ossec/etc/ossec.conf文件,使用remote标签可以自定义服务监听使用的本地ip地址。...原创 2022-08-10 18:07:58 · 1114 阅读 · 0 评论 -
Wazuh开源主机安全解决方案的简介与使用体验
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...原创 2022-07-03 22:54:49 · 5505 阅读 · 3 评论 -
Linux auditd主机系统安全审计服务配置技术方案
Auditd是什么Auditd是Linux审计系统的用户空间组件。Auditd是Linux审计守护进程的缩写。在Linux中,daemon被称为后台运行服务,当它在后台运行时,应用程序服务的末尾附加了一个“d”。auditd的工作是作为后台服务收集审计日志文件并将其写入磁盘。审计系统由两个主要部分组成:用户空间应用程序和实用程序,以及内核端系统调用处理。内核组件接收来自用户空间应用程序的系统调用,并通过以下过滤器之一对其进行过滤:user、task、fstype或exit。一旦系统调用通过了excl原创 2022-04-13 18:44:38 · 8258 阅读 · 0 评论 -
EDPB数据跨境传输补充措施的最终建议-中英文对照版本
背景大家可能都对欧盟《通用数据保护规范》(GDPR)有些了解,近些年来欧盟内基于GDPR出现了很多的个人数据保护方面的案件与判例,也就是在昨天7.30号,欧盟初步决定判处亚马逊因违反欧盟通用数据保护条例(GDPR),被欧盟隐私监管机构处以7.46亿欧元(约合8.88亿美元)罚款。据悉,这是自2018年5月欧盟GDPR规则生效以来,迄今为止最大的一笔罚款。这个法案随时间发展也在不断得到各种补充解释。本文正是基于EDPB于2021.6公布的《数据跨境传输补充措施的最终建议》,翻译得到的中英对照版本。相信对于原创 2021-07-31 18:31:04 · 3019 阅读 · 0 评论 -
EDPB通过了数据跨境传输补充措施的最终建议-20210621
EDPB通过了数据跨境传输补充措施的最终建议,并就可能的数字欧元的隐私和数据保护方面致函欧盟机构,以及指定了三名EDPB成员加入ETIAS基本权利指导委员会。经公众谘询后,EDPB 在全体会议上通过了补充措施建议的最终版本。在CJEU Schrems II裁决之后,这些建议于2020年11月首次获得通过。它们的目的是协助作为数据输出者的控制者和处理者确定和执行适当的补充措施,以确保它们向第三国传输的数据基本上得到同等程度的保护。建议的最后版本包括若干修改,以处理公众咨询期间收到的意见和反馈,并特别注重第翻译 2021-06-26 23:52:01 · 4824 阅读 · 0 评论 -
数据保护官DPO证书及展示
欧盟GDPR条例颁布至今已有5年时间,同时中国国内的个人信息保护法在本月即将完成二次审议。国内外,针对用户个人隐私数据保护的管理与治理日趋严格。那么,你准备好了吗?根据GDPR要求,核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定数据保护官DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理层报告。未来设立DPO职位也将会在国际化企业和政府部门内成为趋势。在国内,个保法二审稿中已经根据形势发展要求,新近补充了要求超大型公司或机构“增设独原创 2021-04-27 09:35:23 · 6316 阅读 · 2 评论 -
隐私合规框架 by it governance team
本参考框架源自《欧盟通用数据保护条例——实施及合规指南》,提供了一个针对隐私数据保护的全局视角。EU General Data Protection Regulation(GDPR)–An Implementation and Compliance Guide原创 2021-03-29 09:08:37 · 1863 阅读 · 1 评论 -
一个基于设计的隐私保护框架使用示例
本图是从满足GDPR合规要求,提供的一份基于设计和默认的个人数据保护的组织与技术措施参考框架。这是一个比较简单的隐私保护参考方法。在整体上,该框架先按照步骤定义了一些需要被管理的主题,然后分别从适用的技术示例和潜在的文件资料两方面进行了描述。文中art 5(1)c表示GDPR法规第5章第1条c项。中文:英文对照:...原创 2021-03-29 08:09:51 · 2087 阅读 · 0 评论 -
关于个人数据泄露通知的示例 Published by EDPB
指南01/2021 关于个人数据泄露通知的示例 Published by EDPB1.关于”个人数据泄露”的名词翻译”Data Breach”常见于译成”数据泄露”,而实际上GDPR意义上的”Data Breach”范围上同时覆盖到了个人数据的完整性、可用性和机密性,所以在很多场景下翻译为”数据违规”或”数据破坏”会更准确一些。2.关于”Data Breach Notification”概念的理解从名词翻译“个人数据泄露通知”,很容易错误地理解为在发生了个人数据违规事件后,需要做的仅仅是怎么正确地原创 2021-03-24 12:31:14 · 2627 阅读 · 0 评论 -
信息安全工作OKR愿景、战略和目标的设计示例
OKR是一套定义和跟踪目标及其完成情况的管理工具和方法。本文定位于一个公司的信息安全工作OKR设计,提供了一个设计尝试与示例参考。帮助大家理解怎么使用OKR来帮助设计信息安全工作的目标和管理相关的任务。一、愿景为公司的产品服务和技术系统的持续运行运营提供所需的信息安全保障。二、战略1. 通过信息安全标准认证引入ISO27000和国家信息安全等级保护标准,规划公司信息安全...原创 2018-03-05 02:16:18 · 7994 阅读 · 1 评论 -
基于ISMS和信息安全等级保护两个标准的信息安全项目设计方法
通过实施一次的信息安全建设项目,使得信息安全水平达到同时符合ISMS和等级安全保护两个管理标准的要求。目录1 获得批准并启动项目2 建立信息安全方针3 识别ISMS和等保的安全要求4 进行安全风险评估及处置5 规划设计6 确定正式的项目计划一、获得批准并启动项目1、获得管理层支持2、指定项目负责人及推进方式管理层要承担最终责任,需要指定一原创 2018-02-06 11:41:30 · 1479 阅读 · 0 评论 -
ISMS信息安全风险评估与等保测评的主要活动内容
ISMS信息安全风险评估的主要活动如下图所示:等保测评的主要活动内容:原创 2018-01-09 00:25:47 · 974 阅读 · 0 评论 -
ISMS信息安全体系与等级保护管理的四层文件架构设计
ISMS信息安全体系与等级保护管理的四层文件架构设计第一层为:政策方针第二层为:管理制度第三层为:操作规程第四层为:各种记录原创 2018-01-31 00:46:36 · 6089 阅读 · 0 评论 -
ISMS信息安全管理体系与信息系统安全等级保护标准的异同点
两个信息安全标准的相同点都是为了保护信息安全;都采用了过程方法,前一个过程的输出作为后一个过程的输入;都采用了PDCA的模型,实现持续安全建设;都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求;在控制措施或安全子类层面的安全要求上,都或多或少的存在共性。二、两个信息安全标准的不原创 2017-12-21 10:47:26 · 6526 阅读 · 2 评论